форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"Перехват почты."	+/–
Сообщение от stakado (ok) on 17-Ноя-10, 10:23
Здравствуйте! Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации. В моём представлении это выглядит как отправление копий сообщений как входящих, так и исходящих на ящик админу, где их, в дальнейшем, можно посмотреть. Какими средствами это лучше сделать? Либо может я не совсем корректно задачу ставлю? В текущий момент реализовано следующее: Для входящей почте на компе админа в Outlook'e (пардон - MS) заведены ящики пользователей (пароли от всех рабочих ящиков известны) и он получает почту, не удаляя её с сервера. На клиентских машинах почтовые клиенты настроены так же, чтобы не удалять почту с сервера, поэтому никакие письма потеряться не должны. Тут вроде вся почта видна и в дальнейшем её возможно посмотреть. 1. Но как быть с личными почтовыми ящиками, ни адреса, ни пароли которых не известны? Большинство клиентов пользуются почтовыми клиентами и отправляют почту посредством smtp, весь этот траффик идёт через шлюз. На шлюзе запущены tcpdump'ы на 25й порт каждого клиента (можно запустить и один на всех, но мне так удобнее), дампы от которых собираются каждый час и обрабатывается chaosreader'ом. Он прекрасно выдирает письма из smtp. Так же ещё дополнительно к 1 пункту запущены tcpdump'ы на 110й порт. И вот из pop3 письма chaosreader выдирать почему-то не хочет. Если просмотреть лог, то в нем видны запросы RETR XXX и далее ответ от сервера в виде письма. Но вот в отдельные файлы письма эти chaosreader не складывает (как он это успешно делает с письмами из smtp). Версия chaosreader'a - 0.94, взятая с соурсфорджа. 2. Как заставить chaosreader выдергивать письма из pop3? Помимо всего этого часть сотрудников вместо всяких аутлуков предпочитает пользоваться веб-почтой (mail.ru, rambler.ru, ...). Как быть с ней? Вижу вариант только лишь запретить доступ ко всем веб-почтам и заставить пользователей гонять почтовые клиенты и передавать/принимать почту по pop3/stmp. 3. Каким образом мониторить веб-почту? Пока писал придумал решение вопроса №1: поскольку у меня запущены tcpdump'ы на 25 и 110 порты, то в этих дампах со временем появятся логины/пароли от всех личных ящиков, которые используются через pop3/smtp. Но вот как быть с личными ящиками, использующимися через веб-почтовики вопрос остаётся.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Перехват почты."	+/–
Сообщение от EL (??) on 17-Ноя-10, 12:52
Да ты какойто злобный монстр Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Перехват почты."	+/–
	Сообщение от Andrey Mitrofanov on 17-Ноя-10, 13:45
	> что еще делать с ...а также со "скрытно носимыми на теле" флэш-, CD-, НЖМД- и прочими носителями, GSM,WiFi,WiMAX и _другими радиоканалами, _оптическим кналом ("в окошко - через дорожку"), ну, и, конечно, условным стуком в стены-двери-землю -- морзянкой! %) А! Ещё http -- запретить, однозначно. Ну, или "много" записывать придётся... А уж http_s_ -- так вообще ужос-ужос-ужос...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Перехват почты."	+/–
	Сообщение от stakado (ok) on 17-Ноя-10, 13:54
	>Да ты какойто злобный монстр рад, что оценили :) >Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ? Благо пока такого вопроса не стоит. Уже задумывался, так сказать чисто теоретически - ниче путного в голову не пришло. Да и в общем-то как-то прочитать шифрованое содержимое не представляется возможным, иначе нафиг придумали все эти алгоритмы шифрования. > ...а также со "скрытно носимыми на теле" флэш-, CD-, НЖМД- и прочими > носителями, GSM,WiFi,WiMAX и _другими радиоканалами, _оптическим кналом ("в окошко - через > дорожку"), ну, и, конечно, условным стуком в стены-двери-землю -- морзянкой! %) На клиентских машинах закрыт доступ к usb и cd, дисководы 3.5" не установлены. WiFi существует лишь у определенного круга лиц (которые меня и заставили эти самые письма перехватывать). > А! Ещё http -- запретить, однозначно. Ну, или "много" записывать придётся... А > уж http_s_ -- так вообще ужос-ужос-ужос... Ну и хотелось бы ближе к теме вопроса :)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Перехват почты."	+/–
	Сообщение от DeadLoco (ok) on 17-Ноя-10, 14:52
	>>Предлогаю подумать что еще делать с imap и прочими TLS/SSL портами ? > Уже задумывался, так сказать чисто теоретически - ниче путного в голову не пришло. Дык, батенька, они для того и придуманы, чтобы потом отдельным личностям в голову ничего не приходило...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	8. "Перехват почты."	+/–
	Сообщение от sTALK_specTrum on 17-Ноя-10, 17:44
	> На клиентских машинах закрыт доступ к usb и cd, дисководы 3.5" не > установлены. WiFi существует лишь у определенного круга лиц (которые меня и > заставили эти самые письма перехватывать). Намекни этому узкому кругу ограниченных лиц, что они неправильно ставят задачу и нихрена не смыслят в политиках информационной безопасности. Если обуял острый приступ паранойи, пусть хотя бы подпишут приказ, что вся почта - только через свой домен на своём сервере. Никаких маил.ру. Пользоваться служебной почтой в личных целях запрещено. И никаких "однотрахников" и "собутыльников". И так далее. Работать, негры! Солнце всегда высоко!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Перехват почты."	+1 +/–
Сообщение от анонимм on 17-Ноя-10, 15:57
>  то в этих дампах со временем появятся > логины/пароли от всех личных ящиков, которые используются через pop3/smtp. Но вот > как быть с личными ящиками, использующимися через веб-почтовики вопрос остаётся. вы чего там совсем ох..ли? ты пытаешься защитить контору, нарушив при этом законы писаные и неписаные. если это инициатива руководства, то валить надо в другое место.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Перехват почты."	+/–
	Сообщение от stakado (ok) on 17-Ноя-10, 16:10
	> вы чего там совсем ох..ли? > ты пытаешься защитить контору, нарушив при этом законы писаные и неписаные. В целом конечно, как вы выразились, ох..ли, но что ж поделать. А если по делу - то личная почта используется дома, на работе нужно пользоваться рабочей почтой, ну или на крайняк личной почтой _в рабочих целях_. Личная корреспонденция пользователей никого не интересует. Насчёт нарушения законов - видимо так оно и есть. Правда можно было бы, наверное, издать какой-нить приказ о том, что на работе используется только рабочая почта и только в рабочих целях, а так же о том, что вся корреспонденция может быть прочитана службой безопасности. В таком случае не было бы нарушения никаких законов? Сам не силён в юриспруденции. >если это инициатива руководства, то валить надо в другое место. Да, это инициатива руководства и я с ним в текущей ситуации вполне согласен. Есть подозрения о сливе важной коммерческой информации непосредственным конкурентам, что не есть хорошо. Моя организация платит мне бабки и не в моих интересах её упадок.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Перехват почты."	+/–
	Сообщение от rr (ok) on 17-Ноя-10, 16:53
	>[оверквотинг удален] > бы, наверное, издать какой-нить приказ о том, что на работе используется > только рабочая почта и только в рабочих целях, а так же > о том, что вся корреспонденция может быть прочитана службой безопасности. В > таком случае не было бы нарушения никаких законов? Сам не силён > в юриспруденции. >>если это инициатива руководства, то валить надо в другое место. > Да, это инициатива руководства и я с ним в текущей ситуации вполне > согласен. Есть подозрения о сливе важной коммерческой информации непосредственным конкурентам, > что не есть хорошо. Моя организация платит мне бабки и не > в моих интересах её упадок. всем все закрыть. подключение к внешним ресурсам, по требованию пользователей с заверением у руководства. при попытке обратится к внешнему ресурсу пользователь получает в браузере сообщение, доступ закрыт по политическим причинам. если доступ к ресурсу необходим по должным обязанностям обратитесь к администратору. открываешь только после этого.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Перехват почты."	+/–
	Сообщение от Хацкер on 17-Ноя-10, 18:45
	Вообще-то есть текстовый файл, aliases называется.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Перехват почты."	+/–
	Сообщение от Хацкер on 17-Ноя-10, 18:49
	Ну или procmailrc. > Вообще-то есть текстовый файл, aliases называется.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Перехват почты."	+/–
	Сообщение от stakado (ok) on 18-Ноя-10, 08:30
	> Ну или procmailrc. >> Вообще-то есть текстовый файл, aliases называется. Почта используется на сторонних почтовых серверах, не на личном почтовом сервере. Если я правильно Вас понял. Алиасы прописываются в случае, когда почта заведена на сервере, который управляется мной. Или не верно понял?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Перехват почты."	+/–
Сообщение от Прочитал тут on 18-Ноя-10, 11:23
Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик админа - это круто! Вы прикидывали, сколько у Вас будет уходить времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите вложения, настройте список блокировки по ключевым словам. Как-то так. Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать и утвердить политику безопасности, сздать список объектов защиты с моделями угроз и матрицами доступа и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Перехват почты."	+/–
	Сообщение от CIA on 18-Ноя-10, 15:08
	> Почитайте о системах DLP. А перенаправление всех (!) писем на почтовый ящик > админа - это круто! Вы прикидывали, сколько у Вас будет уходить > времени на перлюстрацию? Как вариант - поставьте свой почтовый сервер, запретите > вложения, настройте список блокировки по ключевым словам. Как-то так. > Но начинать-то надо не с технических мер. Утвердиь концепцию безопасности, разработать > и утвердить политику безопасности, сздать список объектов защиты с моделями угроз > и матрицами доступа и т.д. пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не умные слова с семинаров по безопасности.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Перехват почты."	+/–
	Сообщение от stakado (ok) on 18-Ноя-10, 17:17
	> пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не > умные слова с семинаров по безопасности. Мне, как автору темы, некрасиво было бы такое писать. А Вы за меня вот прямо вот в точку сказали, прям как мысли мои прочитали. Премного благодарен. Но ещё больше был бы благодарен за _дельные_ ответы по теме.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Перехват почты."	+1 +/–
	Сообщение от Прочитал тут on 19-Ноя-10, 00:06
	>> пипец! Тебе конкретную задачу поставили, для которой нужно конкретное решение, а не >> умные слова с семинаров по безопасности. > Мне, как автору темы, некрасиво было бы такое писать. А Вы за > меня вот прямо вот в точку сказали, прям как мысли мои > прочитали. Премного благодарен. > Но ещё больше был бы благодарен за _дельные_ ответы по теме. Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить", а все эти "умные слова с семинаров" - для тех, кто делать ничего не умеет =) С таким подходом, боюсь, у Вас мало что может получиться, особенно в области ИБ.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Перехват почты."	–1 +/–
	Сообщение от stakado (ok) on 19-Ноя-10, 11:55
	> Вы, насколько я понимаю, из того "сословия" админов, которые считают себя крутыми > практиками, которым нужно только сказать, какой порт закрыть, какой протокол "придушить", > а все эти "умные слова с семинаров" - для тех, кто > делать ничего не умеет =) С таким подходом, боюсь, у Вас > мало что может получиться, особенно в области ИБ. Я из тех админов, которые предпочитают на форумах общаться по делу, а не разглогольствовать на различного рода оффтопики. Про ваши разные умные буковки уже уселся читать, мож и вправду что интересное найду (полезное вот навряд ли, но хотя б интересное - для общего развития тоже надо). Ну и по-прежнему прошу дать какие-нить дельные советы. Хотя тему уже так засрали, что вряд ли кто-нить её читать станет.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Перехват почты."	+/–
Сообщение от Прочитал тут on 21-Ноя-10, 00:36
При повторном прочтении Вашего поста заметил несоответствие. > Хочу обсудить вопрос перехвата почты с целью предотвращения утечки информации. Вы неправильно формулируете цель или неправильные методы выбираете. Предотвращение утечек - это недопущение передачи конфиденциальной информации "за периметр", а выбранный Вами метод поможет только установить факт утечки (возможно с адресами отправителя и получателя), но саму утечку это не предотвратить - информация уже ушла. Поэтому я ещё раз Вам советую не пренебрегать теорией, а сделать так, как она советует: определить цели, объекты, методы и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема